banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Messages posted by: kekhocdoi  XML
Profile for kekhocdoi Messages posted by kekhocdoi [ number of posts not being displayed on this page: 5 ]
 
Cám ơn mọi người đã góp ý và chia sẻ.
smilie
Cám ơn bác nhiều lắm. Mình sẽ cố nghiên cứu thêm hixsmilie

HiTnRuN wrote:
Bác kekhocdoi này.
1. Bác hỏi phải kiểu Hex không? Em không rõ lắm, bác nghe lời bác quanta search goolge "CLSID" đi. Nếu tìm được tài liệu hay, share cho em cái link đọc cùng.

2. Ctfmon em cũng không biết nốt. Công ty bác có dùng tiếng Hàn tiếng Nhật hay tiếng Trung không, em đoán mò là nó liên quan đến cái đó.

3. Cái O17... , bác truy regedit theo đến tận cùng cái đường dẫn đó đi. Cái CCS em đoán là CurrentControlSet. 203.162.0.11 và 203.162.0.181 viết tắt là DNS còn đầy đủ ra là Domain Name Server hay Domain Name Service em không nhớ, chỉ biết nó có nhiệm vụ đổi từ tên miền ra địa chỉ IP. Chắc công ty bác đang dùng thuê bao dịch vụ Internet của VDC phải không?

4. Còn vụ Office 2k3, em gặp 2 trường hợp rồi. Bác tham khảo nhé.
+ Có một loại virus tự động copy file lpk.dll hoặc usp10.dll vào các thư mục chứa các ứng dụng hiện hành hoặc vào các file nén dạng *.rar chứa bộ cài hoặc các thư mực chứa file setup.exe để cài các ứng dụng. Khi bác run hoặc cài đặt application tương đồng với việc bác cho con virus đó chạy cùng. Con này tự tìm cả các thư mục được Share all trên mạng LAN có chứa file *.exe, nó cũng lại copy file lpk.dll hoặc usp10.dll vào đó. User run cái file *.exe trên máy mình thế là lại dính theo.
+ Loại tiếp liên quan đến MSOCache. Theo cách MS đặt tên thư mục này là vùng đệm của các ứng dụng của bộ Office. Một lần em dính con virus nó xóa mất 2 file PRO11.MSI và SKU011.CAB trong thư mục MSOCache khiến Word không thể run được, nó đòi lấy 2 file đó từ bộ cài Office mới có thể tiếp tục dùng Word. Em (lại) đoán virus này nó lợi dụng Word mỗi lần run là mỗi lần mở các file trên nên nó sửa file gốc và chèn vào đó thêm những gì nó muốn. Con virus em gặp chắc là chưa hoàn thiện hoặc bị Kas 6 Workstation ở máy đó chặn nên gây ra lỗi trên. 


1. Mình nhớ hình như đọc ở đâu đó cái dãy địa chỉ viết theo kiểu hex (thập lục phân). Mình sẽ search CLSID. wikipedia cũng có http://en.wikipedia.org/wiki/Globally_Unique_Identifier không biết bác đã đọc chưa (đoán là rồi smilie ). Tui vừa mới search
2. Ctfmon.exe mình nghe nói là file lưu lại clipboard gì đó quên rồi (Của MS office thì phải).
3. Công ty mình dùng thuê bao dịch vụ VDC đúng rồi. Mình đã truy tận cùng Registry đó và thấy dhcp, default gate way,..vv nhưng ý mình muốn hỏi làm sao biết được các chữ số đó chứa cái gì (đặt tên thì cũng phải có liên hệ không thì ai hiểu mà tìm được). CCS: đúng như Bác nói, CS1, CS2 hình như là CurrentControlset1 ,2. Mình nghĩ dãy số kia phải có ý nghĩa nào đó để mình biết nó liên quan đến DNS. Nếu không cho dù ai giỏi nhớ mấy cũng..smilie
4. Mình sẽ nghiên cứu thêm (Hơi khó hiểusmilie). Bác giải quyết thế nào? (Chia sẻ kinh nghiệm đi smilie )
a. 2 file kia bác làm sao biết. Có chương trình ứng dụng nào có nó không? Nếu có virus sẽ copy đè lên ah. Tác dụng của nó chắc phải google hix.
b. Cũng gặp một lần nhưng không hiểu lắmsmilie.

PS: Logfile còn dấu vết bị gì không. Mọi người làm ơn chỉ rõ từng máy để mình tham khảo với
1. Thông báo của KIS:


.
Có phải KIS khóa tấn công xâm nhập từ 10.30.192.82 qua cổng 445 không? Intrusion.Win.NetAPI.Buffer-overflow.Exploit có phải là khai thác tấn công làm tràn bộ đệm không?. Hix cơ quan mình toàn dân không phải IT làm gì có tấn công ở đây nhỉ. Mọi người giải thích hộ mình vớismilie. (Hay là có share bị die link thiệt).

2. Vẫn là cái RECYCLE bị ẩn hình thư mục:




Dung lượng đến 2.32 MB. Quét bằng Avira free phát hiện WORM/Kido.IH.40 thế nhưng quét xong nó vẫn còn. Mình quét lại bằng Avira thì không thấy virus. Cho mình hỏi là tại sao lại có file này và cắm USB vào là lập tức bị nhiễm dù đã diasble autorun disk trong group policy. Trong ổ C cũng có cái RECYCLE thư mục nhưng dụng lượng lại nhỏ hơn:




Vậy thì đâu có thể nói là do nhiễm từ máy. Mình xóa nó thì vẫn xóa được nhưng không hiểu nó có tác dụng gìsmilie. Trong win thì nó chứa đựng các file và thư mục bị xoá nhưng USB có cần không nhỉ smilie . Không biết mình thắc mắc có ngớ ngẩn lắm không có gì mọi người bỏ qua cho nhé.
PS: Mình thử mở nó bằng Winrar:




Tên gì lạ hoắcsmilie. Có phải đó là một loại Worm

Mình post tiếp log hijack của một máy khác: (Máy này lúc not responding lúc thì bình thườngsmilie)
MÁY 2:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 8:21:54 AM, on 11/13/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\sttray.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3LAK.EXE
C:\WINDOWS\system32\CAP3RSK.EXE
C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE
C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE
C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE
C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE
C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE
C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\SigmaTel\C-Major Audio\WDM\STacSV.exe
C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\UniKey\UniKey.exe
D:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://vn.rd.yahoo.com/customize/ycomp/defaults/sp/*http://vn.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://vn.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_url = http://vn.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://vn.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Searchurl,(Default) = http://vn.rd.yahoo.com/customize/ycomp/defaults/su/*http://vn.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.dantri.com.vn/
R3 - urlSearchHook: Yahoo! Thanh công cu? - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\YTSingleInstance.dll
O3 - Toolbar: Yahoo! Thanh công cu? - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] sttray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [CAP3ON] C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3ONN.EXE
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - Global Startup: Canon LASER SHOT LBP-1120 Status Window.LNK = C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3LAK.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{CF0CB5EE-CF97-4C79-A239-959616CE04CB}: NameServer = 203.162.0.11,203.162.0.181
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\Program Files\SigmaTel\C-Major Audio\WDM\STacSV.exe
O23 - Service: Yahoo! Updater (YahooAUService) - Yahoo! Inc. - C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe

--
End of file - 4797 bytes

Ps: Để dễ dàng phân tích mình xin chọn thứ tự 1 2 cho 2 máy. Máy sau sẽ là máy 2. Tiện đây cho mình hỏi thêm có chương trình nào chạy mà giấu được cả hijack ko?smilie

kamikazeq wrote:
Cho cái Log Hijack lên đi rồi tính tiếp.
Hiện tại là chắc chắn còn 2 thằng trùm trong máy đấy (Kido, Virut.ce)

Cái con system.exe và userinit.exe, dù cho đến thời điểm này đã xuất hiện vài biến thể lạ lùng nhưng không tới nỗi phải bó tay.

Vấn đề Office vẫn còn là ẩn số ... 


Đây là log hijack:

MÁY 1:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 3:13:09 PM, on 11/12/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\UniKey\UniKeyNT.exe
C:\WINDOWS\system32\CAP3RSK.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3LAK.EXE
C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE
C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE
C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
D:\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_url = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_url = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [CAP3ON] C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3ONN.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [UniKey] C:\Program Files\UniKey\UniKeyNT.exe
O4 - Global Startup: Canon LASER SHOT LBP-1120 Status Window.LNK = C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3LAK.EXE
O8 - Extra context menu item: Add to Banner Ad Blocker - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Web traffic protection statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{8781B754-7EDF-487E-892A-7154153015BA}: NameServer = 203.162.0.11,203.162.0.181
O17 - HKLM\System\CS1\Services\Tcpip\..\{8781B754-7EDF-487E-892A-7154153015BA}: NameServer = 203.162.0.11,203.162.0.181
O17 - HKLM\System\CS2\Services\Tcpip\..\{8781B754-7EDF-487E-892A-7154153015BA}: NameServer = 203.162.0.11,203.162.0.181
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe

--
End of file - 3744 bytes

Ps: Mình cập nhật KIS và quét lại hôm qua. Hôm nay đã vào bình thường không còn bị not responding (Hix hôm nay mới lấy log không biết còn dấu vết gì không). Mọi người phân tích log và cho mình hỏi mấy cái dạng thế này: {e2e2dd38-d088-4134-82b7-f2ba38496583} là chữ kiểu Hex phải không? Mình tắt ctfmon.exe (vào start\setting\control panel chọn regional and language chọn thẻ language\detail chọn advance click vào turn off advance text services) rồi mà sao nó vẫn chạy, có phải vì cái này không "O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe" nhưng hôm qua mình vào Run không thấy nósmilie(Có lẽ mình chỉ kiểm tra bên nhánh HKLM hix). Còn đoạn này có nghĩa là gi: O17 - HKLM\System\CCS\Services\Tcpip\..\{8781B754-7EDF-487E-892A-7154153015BA}: NameServer = 203.162.0.11,203.162.0.181
O17 - HKLM\System\CS1\Services\Tcpip\..\{8781B754-7EDF-487E-892A-7154153015BA}: NameServer = 203.162.0.11,203.162.0.181
O17 - HKLM\System\CS2\Services\Tcpip\..\{8781B754-7EDF-487E-892A-7154153015BA}: NameServer = 203.162.0.11,203.162.0.181. Trong cơ quan còn một máy nữa bị như vậy. Mình sẽ post log sau

myquartz wrote:
Có khả năng không phải dính virus gì, mà là máy map 1 ổ đĩa tới 1 máy tính chết ngỏm lâu rồi mà vẫn chưa xoá cái link đó, hoặc có khả năng ổ đĩa mềm cũ có vấn đề trục trặc.
Hoặc có thể dùng các tiện ích như là Web Folder (save file vào 1 web server), hay là dùng kết nối share point mà share đó ngỏm rồi.
Thằng Office nó rất ngu, mỗi khi save as hay open 1 file, nó đi scan thư mục gốc và 1 số thông số gì đó (ví dụ: dung lượng đĩa trống) tất cả các ổ đĩa, các folder mà hệ thống có định nghĩa. Scan phải cái chết rồi nên time-out lâu lắm. Ai dùng đĩa mềm sẽ thấy, mỗi khi save as/open, sẽ thấy đĩa mềm đọc cạch cạch 1 tí.
Có lẽ chính vì thế tạo account mới thì nhanh vì account này sạch sẽ, không có kết nối đi đâu nên không bị sao. 

Đâu chỉ riêng save as mình thử view print, print,.. đều not responding.
Có lẽ dính virus rồi: KIS phát hiện nó là virus Virus.Win32.Virut.ce và net-worm.win32.kido.ih
Mình tracert đến 203.162.0.11 kết quả như sau:

.
Mình thấy từ máy mình đi qua địa chỉ đích qua 10 hops. Tuy nhiên tại hop 5 bị request time out. Có phải vì vậy không hay còn vì lý do nào khác. Cho mình hỏi thêm dấu * ở đây là chưa xác định được phải không hay là tại đó có nhiều đường để đi quasmilie
Mình ping từ máy đang dùng ra internetsmilie. Địa chỉ đích là 203.162.0.11. Ảnh minh họa đây:


tiếp nữa:


Còn đây là ảnh upload bị chậm dừng lại rất lâu:


Còn thử ping trong mạng LAN thấy ping time đều và chưa có hiện tượng request time out. Ping gateway, server ổn định;
Không biết có phải tại Internet không hay tại mạng cơ quansmilie.
Hix mọi người hỏi nhiều quá mà đi lạc hết sao không lập một topic hỏi cho sướng có hơn không?smilie

thangdiablo wrote:
Nghĩa là nó chỉ bị 1 tình trạng duy nhất là save as và open foder rất chậm. 

Không chỉ có thế đâu vào bất kỳ ứng dụng nào của word và excel đều bị not responding. Máy một người trong cơ quan mình bị rồi. Vào view printer cũng bị not responding, save as,.. cũng vậy. Mình xem process mà không thấy gì lạ. Xem luôn start up trong msconfig vẫn bình thường. Máy có cài KIS không biết có phải tại nó khôngsmilie. Bóc office cài lại vẫn không có kết quả, máy vẫn ở tình trạng cũ. KIS phát hiện ra con net- worm.win32.kido.ih, win32.virut.ce (KIS cảnh báo máy tính đang bị đe dọa màu đỏ). Hix mọi người có cần mình lấy file log máy đó không? Mọi người cho mình biết thêm là mình phải kiểm tra những gì trong máy đó:Có cần kiểm tra registry không? (Mình đã kiểm tra Run không thấy tiến trình nào nghi ngờ chạy cùng Windows), Các file ẩn vẫn được hiển thị (Có thêm cái thư mục RECYCLE (Mấy cái USB cắm vào kiểu gì cũng dính; Avira báo là worm.kido.ih.40 nhưng không diệt được thì phải) chứa cái file ảnh tên tùm lum nản quá trời). Mọi người cho biết ý kiến thêm nhésmilie. Máy nhiễm nhiều loại virus biết diệt thế nào hix.
Ps: Hôm trước có máy dính con system.exe và usuerinit.exe (hình như là sohand gì đó) tạo một loạt file .tmp 1-..n khóa log file,.. tắt startup ko được. Tìm khắp google tìm cách giải quyết thử hết mà vô vọng. Cài sửa Win rồi tiếp tục diệt nhưng vẫn bị khóa logfile. Hix nản cài lại Win. Hix hình như giờ virus không còn tấn công taskmgr, registry,.. như xưa nữa. Pó taysmilie
Mạng chỗ mình cũng không biết bị gì ping cứ một loạt khoảng 15 -20 TTL la request time out. Có khi 3 lần liên tiếp, có khi một lần liên tiếp. Không biết có phải do virus không nữa. Mọi người xem xét giúp mình với. Mình nghe nói là một máy trong mạng bị nhiễm virus vậy có cách nào tìm ra nó không? Dấu hiệu nhận biết máy bị nhiễm (nếu có thể đến từng máy kiểm tra tuy nhiên hơi khó vì điều kiện làm việc cơ quan), kiểm tra qua LAN có được không? Time ping nhảy không đều mặc dù cùng ping một địa chỉ. Ai có hướng giải quyết hay chia sẻ kinh nghiệm với mình nhésmilie
Cảm ơn các bạn mình đã hiểu rồi.smilie
Hix cám ơn bạn nhasmilie.
Máy mình đang chạy tự nhiên màn hình bị đen lại xuất hiện vệt trắng sáng chói dài ở giữa và còn có hiện tượng như đang load. Sau đó vệt sáng đổi thành màu cầu vồng.. Mình đã thử tắt máy rồi bật lại. Màn hình vẫn bị như vậy. Cách đây 2 tuần mình cũng bị một lần nhưng sau một ngày nó bình thường trở lại. Ai biết màn hình bị gì không?smilie
Cho mình hỏi nội dung đang viết là cái gì vậy? Thấy tiêu đề nhưng vẫn không rõ lắmsmilie. Bạn có thể nói rõ hơn được không bạn ơi? Cảm ơn bạn đã viết bài
@phamlenhan555

bolzano_1989 wrote:
Nguồn gốc của cái gì của virus ? Virus loại này đã rất lâu đời và tất nhiên được viết bởi "virus writers" . Hình thức lây nhiễm thì cũng tương tự các loại virus thông thường khác, bạn tự tìm hiểu, ngoài ra nếu bạn boot bằng đĩa mềm bị nhiễm boot virus thì ổ cứng của bạn cũng sẽ bị lây nhiễm.
Boot virus copy mã độc vào boot sector của ổ đĩa mềm và boot sector hoặc Master Boot Record (MBR) của ổ cứng.

Cách diệt nó thì bạn đã đọc ở nhiều nơi rồi, tự mà làm lấy, đa số là dùng đĩa boot hay cài thêm Windows Recovery Console với lệnh fdisk /mbr hoặc dùng 1 số công cụ.  
Xài mini winxp ở Hiren boot được không nhỉ. Mình chưa bao giờ cài 2 hệ điều hành hix

conmale wrote:
Vào /hvaonline/readingRoom/item/285.html để xem bài 1. Cuối trang có đường dẫn đến 14 bài của loạt bài này. 
.
Vậy là bài này chỉ có 14 phần thôi hả anh? Sao em thấy còn tiếp ở cuối phần 14.
Còn link đến các bài viết giá trị của HVA anh quanta đưa ra vào tốt rồi smilie. Mà loạt bài đó tác giả là anh conmale phải không ạ?

conmale wrote:

alone_angle wrote:
bài viêt này hay lắm
nhưng em chỉ có phần một
ai có thể gửi cho em đầy dủ được không
em rất cảm ơn !
Gửi cho em the email:computer_angle113@yahoo.com
xin cảm ơn nhiều! 


Vào mục /hvaonline/forums/show/14.html mà tìm đọc. 

Những bài này đâu vào được đâu anh. "Bạn không có đủ quyền hạn để truy cập"
http://picasaweb.google.com/lh/photo/5ST6IE273na_9acKzz_AsA?feat=directlink

PS: Em lấy link ảnh download không được vì firefox nó bắt link down chứ không phải là IDM. Link firefox dùng để down có thể hiển thị ảnh trực tiếp được không anh? Mà em cũng không thấy link nữa vì em đã chọn tự động save rồismilie. Bài này thấy còn tiếp sau phần 14 mà sao không thấy anh conmale post luôn ở đây nhỉ smilie
Đã xử lý xong bằng cách gỡ internet explorer theo hướng dẫn google. Công nhận ông google này giỏi thiệt gì cũng biếtsmilie
Thấy ông ở cơ quan mình xài BKAV pro mà máy vẫn nhiễm đầy trojan, spyware, adware, .. bó taysmilie
Hix biết học từ đâu đây?

jforum300 wrote:
Theo mình Windows thì cứ ngồi rê rê chuột, gõ gõ phím, vọc vạch linh tinh tầm 1 tuần là rành ngay ấy mà, bạn biết đường vào đây post bài thì dư sức tự học nó.  

Chắc không đủ để làm một user thông thường đâusmilie.
hệ điều hành windows  
Học gì ở trong này

Cảm ơn các bạn đã chia sẻ tài liệu.
 
Go to Page:  First Page Page 1 3 4 5 Page 6 Last Page

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|